Une approche pragmatique de la mise en œuvre de politiques de sécurité
|
|
- Gustave Lortie
- il y a 8 ans
- Total affichages :
Transcription
1 Une approche pragmatique de la mise en œuvre de politiques de sécurité Guillaume Rousse INRIA, DSI Denis Joiret INRIA, DSI Bertrand Wallrich INRIA Résumé Il y a deux catégories d administrateurs système et réseau : ceux qui écrivent des politiques de sécurité ; ceux qui sont censés les mettre en œuvre. Comme les premiers ont tendance à écrire plus vite que les seconds ne mettent en œuvre, il vaut mieux pouvoir mesurer l écart entre la théorie et la pratique, et ce afin de chercher le meilleur moyen de faire converger les deux. Cet article présente l approche que nous utilisons à l INRIA pour évaluer la conformité de nos ressources informatiques vis-à-vis de notre politique de sécurité. A partir de données brutes fournies par différentes sources, nous extrayons les éléments qui nous intéressent, et nous mettons en évidence les écarts avec nos préconisations. Le résultat est alors présenté sous la forme d un rapport synthétique, faisant le lien entre la règle du jeu (la politique) et la réalité. Au delà de l aspect purement technique de cette recherche de vulnérabilités, ce sont des considérations humaines qui président aux choix des indicateurs, au langage, à la présentation des résultats, et à la volonté de présenter ceux-ci dans notre contexte spécifique, avec des solutions techniques prêtes à l emploi. Identifier les problèmes, c est bien, les faire corriger, c est encore mieux. Mots clefs politique de sécurité, conformité 1 Introduction Il y a deux catégories d administrateurs système et réseau : ceux qui écrivent des politiques de sécurité ; ceux qui sont censés les mettre en œuvre. Dans la vraie vie, la deuxième catégorie est généralement débordée par de multiples tâches plus urgentes, et manque de temps à consacrer au sujet. Du coup, les recommandations restent sans effet, s accumulent, et l écart entre la théorie et la pratique tend à croître indéfiniment... Il est donc nécessaire de pouvoir évaluer cet écart, afin d en prendre conscience d une part, et de chercher à le réduire d autre part. En langage de décideur pressé, mettre en place des indicateurs, et s en servir pour piloter les évolutions. JRES Montpellier 1/6
2 2 Des outils Principe Dans le domaine de la sécurité, il existe une multitude d outils d analyse. Ceux-ci sont capables de fournir une grande quantité de données brutes, mais celles-ci ne correspondent pas forcément à l information recherchée. Par exemple, un scanner de port permet de rechercher les services accessibles sur une machine. Mais il est incapable de distinguer ceux qui sont légitimes de ceux qui ne le sont pas, parce qu il ne s agit plus d une information technique, mais contextuelle. Un scanner de vulnérabilité va identifier un certain nombre de failles, potentielles ou avérées, sur une machine, et leur affecter une gravité. Mais celle-ci est relativement arbitraire : l utilisation d une distribution Linux dont la période de support officielle est terminée (risque critique pour Nessus) constitue-t-elle vraiment un risque plus élevé qu un accès SSH lorsque l authentification par mot de passe est autorisée (simple information pour Nessus)? Là encore, il ne s agit pas d un critère technique, mais d une évaluation subjective du risque posé par deux menaces différentes. Bref, ces résultats bruts ne permettent pas de vérifier directement une politique de sécurité, c est-à-dire un ensemble de préconisations établies en fonction de ce que l on cherche à protéger, contre qui, et comment. Par contre, il est possible de traiter ces résultats, de façon à faire ressortir les infractions à cette politique. Mieux encore, il est possible de mesurer ces écarts, de suivre l évolution de ceux-ci avec le temps, et donc de produire une mesure de conformité de la réalité par rapport à la politique de sécurité. 2.2 Réalisation Nous avons construit un outil permettant d arriver à cet objectif, en utilisant un scanner de vulnérabilité réputé, Nessus[1], comme source de données brutes et un peu de programmation autour. Cet outil a reçu le petit nom de Solution de Test Automatisée de la Sécurité Informatique, ou STASI pour les intimes. Son fonctionnement est illustré par la figure 1. Figure 1 - Schéma de fonctionnement L outil prend en entrée une liste de réseaux et une politique de test. La liste de réseaux est un fichier de configuration pour l outil, produit à partir d un référentiel, qui énumère et caractérise les différents réseaux à tester. La politique de test est un objet interne à Nessus, qui définit les tests à réaliser. L outil pilote alors Nessus via son interface RPC pour balayer ces différents réseaux un par un. L outil récupère et analyse ensuite les résultats produits, en fonction d une politique de conformité, pour identifier les violations. Cette politique de conformité est un fichier de configuration, qui traduit sous une forme opérationnelle pour JRES Montpellier 2/6
3 notre outil notre politique de sécurité qui, elle, s adresse aux humains. Par exemple, une préconisation qui s énonce «pas de service accessible depuis l extérieur sur les réseaux de postes de travail» se vérifie en cherchant la présence d un port ouvert sur ce réseau. Une préconisation qui s énonce «pas d authentification HTTP sur une connexion non sécurisée» se vérifie en recherchant la présence de résultat pour le plugin Nessus n Et le nombre de violations de chacune de ces préconisations constitue alors un indicateur numérique de conformité d une ressource (une plage d adresses IP ici) à notre politique de sécurité. Enfin, l outil construit à partir de ces indicateurs un rapport synthétique, sous la forme d un ensemble de pages web, qui montre l évolution des valeurs au cours des semaines écoulées. Les résultats bruts des outils sont également mis à disposition, pour plus d information. Les captures d écran des figures 2 et 3 montrent l exemple d un tel rapport. Figure 2 - Rapport synthétique : vue d ensemble Figure 3 - Rapport synthétique : vue d un réseau L outil n étant pas interactif, son utilisation peut être automatisée. Ainsi, l ensemble des plages réseaux de l INRIA est analysé automatiquement chaque semaine, à partir d une machine hébergée chez un prestataire externe, en dehors des heures d activité. JRES Montpellier 3/6
4 2.3 Réglages Nessus, notre source de données, est relativement trivial à utiliser. Il suffit de définir une cible et une politique de test, et de le lancer. Toutefois, l usage montre rapidement qu il est nécessaire de se plonger un minimum dans les différentes options disponibles pour éviter certains problèmes. D abord, balayer l ensemble des adresses d un réseau peut être long. Notamment si les filtrages mis en place ne permettent pas de distinguer immédiatement une machine qui ne répond pas d une adresse inoccupée. C est sans doute un problème de nanti, mais avec les quatre réseaux de adresses publiques de l INRIA, il arrive fréquemment que le test d un site ne soit pas terminé lorsque le suivant commence, même avec vingt-quatre heures de décalage entre les deux... Ensuite, balayer un réseau, cela peut également être intrusif. À tort ou à raison, les collègues identifient rapidement l outil de test comme le coupable idéal pour toute perturbation constatée... La première mesure de remédiation consiste à annoncer le planning de test, et à faire figurer dans les résultats les heures de début et de fin de chaque passage de l outil, de façon à rapidement mettre en évidence l absence de responsabilité. Et le suivi de la durée de chaque passage permet également de mesurer l impact des variations de configuration. La seconde mesure consiste à limiter le nombre de connexions simultanées et de paquets par seconde. Mobiliser trop de ressources peut amener à un déni de service sur les routeurs d entrée de site, notamment vers des réseaux NATés (mais met en évidence une fragilité sous-jacente), ou au déclenchement de mécanismes de protection contre des attaques de type SYN-flood. À l inverse, utiliser trop peu de ressources revient à retomber dans le problème de durée précédent. Il y a donc un véritable travail d équilibrage de charge, à réaliser avec les équipes qui gèrent les équipements réseaux. Enfin, la troisième mesure consiste à limiter la plage de ports et la liste des vulnérabilités à tester. Ce qui revient à faire un compromis entre exhaustivité d une part, limitation de l impact et rapidité d autre part. Dans l optique d une procédure automatisée hebdomadaire à large spectre, et étant donné que la liste des résultats trouvés suffit déjà largement à nous occuper, nous avons rapidement opté pour la limitation. Vu le peu de valeur ajoutée d une sélection fine des tests à lancer par Nessus, qui gère de toute façon des dépendances internes, cette limitation consiste à désactiver en bloc certaines catégories de tests (tests de déni de service, notamment) ou certaines options de configuration globale (tests de paramètres web). 2.4 Évolutions À l origine, nous utilisions également un scanner de port, Nmap[2], mais très rapidement la duplication de fonctionnalités entre les deux (Nessus passe également par une phase de recherche de services) nous a conduit à abandonner son usage. Par contre, le principe de l utilisation de plusieurs sources de données reste conservée dans l outil. La principale limitation technique constatée aujourd hui est le manque d adéquation de Nessus vis-à-vis de la recherche de failles dans des applications web, lors de la recherche sur des réseaux complets. En effet, l outil considère alors une liste d adresses IP, et ne va tester que l hôte virtuel HTTP correspondant à l adresse IP de chaque machine, bien souvent l hôte virtuel par défaut. Et même si celui-ci est le seul présent, l outil est incapable avec une politique généraliste de détecter un site qui n est pas atteignable depuis la racine du serveur web. Pour cela, il faut utiliser une politique dédiée. Bref, l outil est adapté à un balayage en profondeur (une seule machine cible, avec une politique de test dédiée) ou en largeur (un réseau complet, avec une politique de test généraliste), alors que la cible ici est intermédiaire. Accessoirement, il faudrait aussi être capable de fournir la liste des noms d hôtes à tester, ce qui n est pas une mince affaire en l absence d un référentiel et des hommes Identifier les problèmes, c est bien, les corriger, c est encore mieux. Or nous nous situons précisément dans une logique de séparation des rôles, dans laquelle nous n avons pas la responsabilité ni la possibilité d intervenir sur les équipements concernés. Il ne s agit donc plus de corriger, mais de faire corriger, ce qui change un certain nombre de choses, et notamment le type de stratégie à mettre en œuvre. JRES Montpellier 4/6
5 3.1 Présentation des résultats Dès qu il s agit de communiquer avec un tiers, la forme joue autant que le fond. Nul besoin d être un expert en communication pour définir quelques points importants. D abord, mieux vaut produire des rapports ciblés, limités aux seules ressources gérées par l interlocuteur visé. Par exemple, inutile de noyer l administrateur d une machine unique avec des informations concernant l ensemble des machines situées sur le même réseau. Dans notre contexte de répartition des rôles, avec une équipe gérant l infrastructure d une part, une autre équipe gérant les services d autre part, c est malheureusement souvent un problème complexe. La qualité du référentiel utilisé pour définir les cibles joue ici un rôle primordial. Ensuite, mieux vaut adapter le rapport à son public, notamment en choisissant un vocabulaire et un niveau de détail correspondant au niveau de compétence supposé de son interlocuteur. Celui-ci est généralement variable, mais il ne s agit clairement pas d experts en sécurité. Donc mieux vaut éviter de supposer par exemple que les arcanes du protocole TLS sont maitrisés... Enfin, mieux vaut mettre en évidence ce qui doit être corrigé, pourquoi, et comment. Dans notre cas, ceci se traduit par une volonté de faire le lien entre : l occurence du problème (un service accessible de l extérieur présente un certificat auto-signé) ; le lien avec nos préconisations (tous les services en production doivent utiliser des certificats fournis via l offre TCS de Renater) ; les différentes façons possible de le corriger (faire une demande de certificat, ou fermer l accès au service depuis l extérieur). Au final, il s agit d un savant équilibre entre concision et justification. Comme il s agit d un sujet hautement subjectif, une méthode possible consiste à se mettre à la place de son interlocuteur, d imaginer tous les arguments utilisables pour justifier l inaction («je ne comprend pas ce dont il s agit», «où est la liste des machines à corriger?», etc.), et de s attacher à rendre ces arguments inutilisables Lien avec la politique de sécurité Le résultat brut d un outil de détection de vulnérabilités, c est... une liste de vulnérabilités. Il faut ensuite filtrer cette liste pour éliminer les faux positifs, exclure les vulnérabilités considérées comme acceptables, puis ordonner celles qui restent pour définir des priorités. N importe quel administrateur système ayant déjà utilisé ce type d outil est habitué à faire ainsi son propre tri dans les résultats fournis, sur ses propres critères. Et il va naturellement faire de même ici en présence d un nouveau rapport, surtout s il n est pas à l origine de la demande. Les résultats produits ici sont différents, parce que tout ce travail de post-traitement des résultats bruts a déjà été fait. Les critères de sélection et de tri sont explicites d une part, ce qui les rend explicables, basés sur la politique de sécurité de l établissement d autre part, ce qui les légitimise. Bref, il faut expliquer qu il ne s agit pas d une liste de vulnérabilités potentielles, mais bien d une liste d erreurs de conformité avérées, et que cela est censé suffire à justifier leur correction. La politique de sécurité, et les préconisations de sécurité qui en découlent, constituent une règle du jeu, et l outil ne fait que vérifier son application. Néanmoins, l argument d autorité a ses limites, et il est relativement illusoire d espérer obtenir beaucoup de résultats par simple rappel des règles. Surtout si ces règles sont arbitraires, et que l obéissance au règlement ne fait pas vraiment partie de la culture de nos établissements de recherche... Il faut donc pouvoir faire évoluer la politique de sécurité, s il s avère que certaines de ses préconisations ne sont pas pertinentes, et inapplicables. Dans ce sens, l outil fournit finalement une boucle de rétroaction, en confrontant une politique à la réalité. Tant que cette politique reste un document abstrait, cet ajustement est plus difficile. L approche pragmatique consiste alors à considérer que pour réduire la distance entre la théorie (le niveau de sécurité visé) et la pratique (le niveau de sécurité actuel), il y a deux leviers possibles : augmenter le niveau de sécurité actuel ; diminuer le niveau de sécurité visé. JRES Montpellier 5/6
6 Autrement dit, diminuer ses objectifs, pour les atteindre plus facilement. Quitte à les rehausser ensuite, dans un deuxième temps, pour progresser par étape. Cette approche itérative, et la recherche d un compromis réalisable, rejoignent le concept de sécurité homéopathique formulé dans [3], et auquel toute notre approche doit beaucoup : une sécurité savamment administrée, à petites doses, afin de réduire les risques auxquels s expose une entité donnée dans le temps, à travers un processus d amélioration continue. À contrario, l approche cynique consiste à considérer que si le niveau atteint correspond à une fraction donnée du niveau visé, il faut plutôt viser plus haut que nécessaire pour espérer atteindre l objectif initial... L outil, lui, est complètement agnostique, et ne fait que fournir les indicateurs nécessaires dans un cas comme dans l autre. 3.3 Appropriation de l outil Tel que nous l utilisons, l outil n est pas un service à disposition de nos administrateurs de ressources informatiques. Ils n ont guère de latitude sur les cibles de nos tests (tous les réseaux accessibles de l extérieur), ni sur le type d informations que nous recherchons (les violations de notre politique). Autrement dit, il n y a pas forcément de besoin exprimé, ni d adhésion spontanée à la démarche. Et pourtant, nous avons besoin de leur participation... Il va donc falloir s attacher à susciter un minimum d appropriation. Pour commencer, il suffit d être à l écoute des premiers retours, et d en tenir compte pour améliorer l outil. Nous avons ainsi par exemple amélioré la présentation des rapports, et nous travaillons actuellement à plus de flexibilité dans la granularité et le rythme de passage. Ensuite, il semble judicieux de faciliter l investissement, par la sélection des indicateurs mis en avant. En considérant la simplicité de correction, et pas uniquement la gravité d un problème, il est possible de donner à tout le monde la possibilité d améliorer le niveau de sécurité actuel du Système d Information, en commençant par des choses simples. Typiquement, mettre en place un certificat X.509 correct, lorsque la procédure est documentée, est à la portée de n importe quelle personne gérant un serveur, et s inscrit pleinement dans la logique de compromis présentée plus haut. Enfin, le fait de conserver un historique des tests effectués permet également d utiliser l outil comme un test de nonrégression en cas de modification de configuration. Nos collègues administrateurs réseaux, en particulier, ont apprécié la possibilité de comparer un indicateur du nombre de machines accessibles depuis l extérieur avant et après le changement des équipements de filtrage d un site. 4 Conclusion Une politique de sécurité n apporte guère d intérêt si elle n est pas appliquée. Il faut donc pouvoir mesurer la différence entre la théorie et la pratique, pour ajuster à la fois le niveau actuel et l objectif poursuivi. Après tout, une politique moins ambitieuse mais mieux suivie est parfois plus efficace qu une politique draconienne complètement ignorée... Encore une fois, la sécurité informatique est un savant compromis entre des possibilités techniques et des contraintes humaines et organisationnelles. Bibliographie [1] [2] [3] Saad Kadhi. Réduction de la surface d attaque d un S.I. : une approche pragmatique. MISC, (58) :75 82, Novembre JRES Montpellier 6/6
Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr
M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec
Plus en détailSécurité des réseaux Les attaques
Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques
Plus en détailLINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation
Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance
Plus en détailFonctionnement de Iptables. Exercices sécurité. Exercice 1
Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.
Plus en détailIntérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT
Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière
Plus en détailConstat. Nicole DAUSQUE, dausque@urec.cnrs.fr CNRS/UREC
Utilisation de produits de simulation d intrusions Nicole DAUSQUE, dausque@urec.cnrs.fr CNRS/UREC Bon nombre des 1 250 unités du CNRS communiquent sur l Internet pour l ordinaire : messagerie électronique,
Plus en détailFirewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1
Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité
Plus en détailADMINISTRATION, GESTION ET SECURISATION DES RESEAUX
MINISTERE DE LA COMMUNAUTE FRANCAISE ADMINISTRATION GENERALE DE L ENSEIGNEMENT ET DE LA RECHERCHE SCIENTIFIQUE ENSEIGNEMENT DE PROMOTION SOCIALE DE REGIME 1 DOSSIER PEDAGOGIQUE UNITE DE FORMATION ADMINISTRATION,
Plus en détailSécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr
Sécurité d IPv6 Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr 1 / 24 Sécurité d IPv6 Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr 2 / 24 Introduction IPv6 est la version d IP normalisée en 1995-1998 (RFC
Plus en détailFigure 1a. Réseau intranet avec pare feu et NAT.
TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L
Plus en détailRetour d expérience sur Prelude
Retour d expérience sur Prelude OSSIR Paris / Mathieu Mauger Consultant Sécurité (Mathieu.Mauger@intrinsec.com) Guillaume Lopes Consultant Sécurité (Guillaume.Lopes@Intrinsec.com) @Intrinsec_Secu 1 Plan
Plus en détailSécurisation du réseau
Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités
Plus en détailCharte d installation des réseaux sans-fils à l INSA de Lyon
Charte d installation des réseaux sans-fils à l INSA de Lyon Toute installation d un point d accès est soumise à autorisation auprès du Responsable Sécurité des Systèmes d Information (RSSI) de l INSA
Plus en détailGuide pratique spécifique pour la mise en place d un accès Wifi
MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ Guide pratique spécifique pour la mise en place d un accès Wifi Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S)- Mai 2014 - V1.0
Plus en détailLinux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch
Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2
Plus en détailCompromettre son réseau en l auditant?
Compromettre son réseau en l auditant? Renaud Deraison Directeur de la Recherche Tenable Network Security 1 Introduction Devant la recrudescence de failles et la crainte de vers de toutes sortes, ainsi
Plus en détailNmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité
Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité 1. Présentation Nmap est un outil open source d'exploration réseau et d'audit de sécurité, utilisé pour scanner de grands
Plus en détailRapport du projet Qualité de Service
Tim Autin Master 2 TI Rapport du projet Qualité de Service UE Réseaux Haut Débit et Qualité de Service Enseignant : Congduc Pham Sommaire Introduction... 3 Scénario... 3 Présentation... 3 Problématique...
Plus en détailStructure typique d un protocole de recherche. Préparé par Johanne Desrosiers dans le cadre d une formation au réseau FORMSAV
Structure typique d un protocole de recherche Préparé par Johanne Desrosiers dans le cadre d une formation au réseau FORMSAV Introduction Planification et développement d une proposition de recherche Étape
Plus en détailSECURIDAY 2013 Cyber War
Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Formateurs: 1. Trabelsi NAJET
Plus en détailLe scan de vulnérabilité
4 Le scan de vulnérabilité Sommaire Le scan de vulnérabilité de base Scan avec NeXpose L assistant "nouveau site" Le nouvel assistant pour les scans manuels Scan avec Nessus Scanners de vulnérabilité spécialisés
Plus en détailRouteur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.
Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05
Plus en détail2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement
Plus en détailSupplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de
Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008
Plus en détailLa sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détailSurveillance stratégique des programmes malveillants avec Nessus, PVS et LCE
Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE 19 mars 2013 (Révision 3) Sommaire Présentation 3 Nessus 3 Détection des programmes malveillants... 3 Détection des réseaux
Plus en détailIndustrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de
Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un
Plus en détailIndicateur et tableau de bord
Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72
Plus en détailMise en place d une politique de sécurité
Mise en place d une politique de sécurité Katell Cornec Gérald Petitgand Jean-Christophe Jaffry CNAM Versailles 1 Situation Sujet du projet Politique de sécurité Les Intervenants et leurs rôles : K. Cornec
Plus en détailDevoir Surveillé de Sécurité des Réseaux
Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La
Plus en détailQuelques propositions pour une organisation des ressources réseaux prenant en compte les besoins du LACL
Quelques propositions pour une organisation des ressources réseaux prenant en compte les besoins du LACL Document de travail proposé par Olivier Michel LACL - P2 240 - olivier.michel@univ-paris12.fr Version
Plus en détailCréation d un «Web Worm»
Création d un «Web Worm» Exploitation automatisée des failles web Simon Marechal Thales Security Systems Consultant Risk Management 1 Création d un ver exploitant une faille web 1.1 Introduction Les applications
Plus en détailTHEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques
THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr
Plus en détailProjet Sécurité des SI
Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance
Plus en détailwww.netexplorer.fr contact@netexplorer.fr
www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...
Plus en détailProgressons vers l internet de demain
Progressons vers l internet de demain Votre ordinateur, par extension votre système d information d entreprise, contient une multitude d informations personnelles, uniques et indispensables à la bonne
Plus en détailSÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE
PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l
Plus en détailTutoriel sur Retina Network Security Scanner
Département de Mathématiques Informatique Master 2 RIP filière «Réseaux» Cours «Sécurité des réseaux et des contenus multimédia» Responsable du module : Mr Osman SALEM Tutoriel sur Retina Network Security
Plus en détailMettre en place un accès sécurisé à travers Internet
Mettre en place un accès sécurisé à travers Internet Dans cette partie vous verrez comment configurer votre serveur en tant que serveur d accès distant. Dans un premier temps, les méthodes pour configurer
Plus en détailCAHIER DES CLAUSES TECHNIQUES
CAHIER DES CLAUSES TECHNIQUES 1. Contexte Ce document décrit les différentes fournitures et prestations à mettre en œuvre dans le cadre du remplacement de la solution de proxy et firewall actuellement
Plus en détailPrincipaux utilisateurs du Réseau
Bienvenue à l innovant apptap, la première solution intégrée de l'industrie à combiner les capacités de collecte de données sur le réseau (Tap) avec le suivi du réseau et des applications. Cette nouvelle
Plus en détailTable des matières. Avant-propos... Préface... XIII. Remerciements...
Avant-propos... XI Préface... XIII Remerciements... XV Introduction... XVII Pourquoi faire un pentest?... XVII Pourquoi Metasploit?... XVII Un bref historique de Metasploit.... XVIII À propos de ce livre...
Plus en détailLes tests d intrusion dans les réseaux Internet, l outil Nessus
Sujet N A04-03 Les tests d intrusion dans les réseaux Internet, l outil Nessus Dongé Laurent laurent_donge@yahoo.fr Président du jury : Mr. GRESSIER CNAM Paris Département informatique Laurent_donge@yahoo.fr
Plus en détailVulnérabilités et sécurisation des applications Web
OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning
Plus en détailAccéder à ZeCoffre via FTP
Accéder à ZeCoffre via FTP Table des matières Introduction... 2 Qu est-ce que FTP... 3 Comment se connecter à ZeCoffre via FTP... 4 Connexion FTP depuis Windows / Linux / Mac OS X... 5 Connexion FTP depuis
Plus en détailSécurité des réseaux Firewalls
Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et
Plus en détailTrois nouveaux formulaires sont donc nécessaires : Pour l affichage de la liste, un formulaire de sortie WEB_Liste associé à la table des [Films] ;
De la base 4D au site Web 20 Conception des formulaires Web Trois nouveaux formulaires sont donc nécessaires : Pour le dialogue, un formulaire WEB_Trouver associé à la table des [Paramètres] ; Pour l affichage
Plus en détailDécouvrir les vulnérabilités au sein des applications Web
Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012
Plus en détailSécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique
Plus en détailTendances de la sécurité informatique à l IN2P3. Actions pour renforcer la sécurité. Sécurité Cargèse 2001 Bernard Boutherin 1
Tendances de la sécurité informatique à l IN2P3. Actions pour renforcer la sécurité. Sécurité Cargèse 2001 Bernard Boutherin 1 Introduction Objectifs de la présentation : Tendances et objectifs de la politique
Plus en détailGestion d'un parc informatique avec OCS INVENTORY et GLPI
GSB Gestion d'un parc informatique avec OCS INVENTORY et GLPI Inventaire d'un parc informatique Suite à la multiplication des matériels et des logiciels dans les locaux de GSB, le service Gestion exprime
Plus en détailMise à jour de sécurité
Release Notes - Firmware 1.6.3 Mise à jour de sécurité Pourquoi ce firmware? Cette mise à jour a pour objectif de renforcer la sécurité du produit MailCube et apporte également des nouvelles fonctionnalités
Plus en détailSujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.
UFC CENTRE DE BAB EZZOUAR EXEMPLES DE SUJETS POUR LE PROJET DE FIN D ETUDE OPSIE PROPOSES PAR M. NACEF (ENSEIGNANT) Sujet 1 : Management des risques par la méthode MEHARI. Type : étude, audit. MEHARI est
Plus en détailz Fiche d identité produit
z Fiche d identité produit Référence DFL-260 Désignation Firewall UTM NETDEFEND 260 pour petites entreprises et télétravailleurs Clientèle cible PME comptant jusqu à 50 utilisateurs Accroche marketing
Plus en détailOpen Vulnerability Assessment System
UFR Mathématique-Informatique Université Paris Descartes UFR Mathématique-Informatique Master 2 Informatique RIP Parcours : Réseaux Open Vulnerability Assessment System Réalisé par : Responsable de cours
Plus en détailAdministration réseau Firewall
Administration réseau Firewall A. Guermouche Cours 5 : Firewall 1/13 Plan Firewall? DMZ Iptables et filtrage Cours 5 : Firewall 2/13 Plan Firewall? DMZ Iptables et filtrage Cours 5 : Firewall 3/13 Pourquoi
Plus en détailRapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités
Plus en détailDÉLIBÉRATION N 2014-13 DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE
DÉLIBÉRATION N 2014-13 DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION À LA MISE EN ŒUVRE DU TRAITEMENT AUTOMATISÉ D INFORMATIONS NOMINATIVES AYANT POUR
Plus en détailSECURIDAY 2012 Pro Edition
SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT SECURIDAY 2012 Pro Edition [Information Gathering via Metasploit] Chef Atelier : Nihel AKREMI (RT 3) Baha Eddine BOUKHZAR(RT 2) Sana GADDOUMI (RT 4) Safa
Plus en détailCHARTE INFORMATIQUE LGL
CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification
Plus en détailINTRUSION SUR INTERNET
INTRUSION SUR INTERNET Filière Télécommunication Laboratoire de Transmission de Données Diplômant : Marfil Miguel Professeur : Gérald Litzistorf En collaboration : Banque Pictet, Lanrent Dutheil e-xpert
Plus en détailIPS : Corrélation de vulnérabilités et Prévention des menaces
IPS : Corrélation de vulnérabilités et Prévention des menaces SIM+IPS opensource David Bizeul & Alexis Caurette C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y Définitions SIM : Security Information
Plus en détailCONFIGURATION FIREWALL
Diffusion : Libre Expert en Réseaux & Télécoms Restreinte Interne CONFIGURATION FIREWALL Version : 2.0 Date : 29/08/2009 RESIX - 8, rue germain Soufflot - Immeuble le sésame - 78180 Montigny le Bretonneux
Plus en détailGENERALITES. COURS TCP/IP Niveau 1
GENERALITES TCP/IP est un protocole inventé par les créateurs d Unix. (Transfer Control Protocol / Internet Protocole). TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée adresse
Plus en détailRappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:
Administration d un Intranet Rappel: Le routage dans Internet La décision dans IP du routage: - Table de routage: Adresse destination (partie réseau), netmask, adresse routeur voisin Déterminer un plan
Plus en détailTable des matières. Date : Version : 29/06/2013 1.1. Objet : OpenVas 6.0
Cette œuvre est mise à disposition selon les termes de la Licence Creative Commons Paternité - Pas d'utilisation Commerciale 3.0 non transposé. Le document est librement diffusable dans le contexte de
Plus en détailServeur de messagerie sous Debian 5.0
Serveur de messagerie sous Debian 5.0 Avec Postfix et une connexion sécurisée GEORGET DAMIEN ET ANTHONY DIJOUX 06/10/2009 [Tutorial d installation d un serveur de messagerie POP et SMTP sous Debian, avec
Plus en détailSIMPLE CRM ET LA SÉCURITÉ
SIMPLE CRM ET LA SÉCURITÉ #innovation INFORMATIONS SECURITE DONNEES Simple CRM et la sécurité INTRODUCTION AUX MECANISMES DE BASE LA SÉCURITÉ AU CENTRE DE NOS PRÉOCUPATIONS La sécurité est au cœur de notre
Plus en détailDétection d'intrusions et analyse forensique
Détection d'intrusions et analyse forensique Yann Berthier & Jean-Baptiste Marchand Hervé Schauer Consultants Agenda Agenda Préambule IDS / IPS : principes - limites Au delà des IDS Conclusion Démonstrations
Plus en détailSécurité et Firewall
TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette
Plus en détailSécurité des Réseaux et d internet. Yves Laloum
Sécurité des Réseaux et d internet Yves Laloum CNAM Page 1 1. Menaces et vulnérabilités sur l Internet! Connaître et comprendre les vulnérabilités et les menaces "niveau réseau : sniffers / scanners /
Plus en détailFirewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.
Firewall I- Définition Un firewall ou mur pare-feu est un équipement spécialisé dans la sécurité réseau. Il filtre les entrées et sorties d'un nœud réseau. Cet équipement travaille habituellement aux niveaux
Plus en détailGuide de connexion Wi-Fi sur un hotspot ADP Télécom
Sommaire Que faut-il pour se connecter? 2 Disposer du matériel adéquat 2 Disposer des droits d accès 2 Comment se connecter? 3 Etape 1 : s attacher au réseau Wi-Fi 3 Etape 2 : authentification 4 Comment
Plus en détailTP 6 : Wifi Sécurité
TP 6 : Wifi Sécurité Ce TP fait appel à plusieurs outils logiciels et documents, la plupart d'entre eux sont déjà installés avec l'icône sur le bureau. Dans le cas contraire, vérifiez que le programme
Plus en détailUbuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)
Introduction 1. Introduction 13 2. Le choix de l'ouvrage : Open Source et Linux Ubuntu 13 2.1 Structure du livre 13 2.2 Pré-requis ou niveau de connaissances préalables 13 3. L'objectif : la constitution
Plus en détailRéseaux Privés Virtuels
Réseaux Privés Virtuels Introduction Théorie Standards VPN basés sur des standards VPN non standards Nouvelles technologies, WiFi, MPLS Gestion d'un VPN, Gestion d'une PKI Introduction Organisation du
Plus en détailMulticast & IGMP Snooping
Multicast & IGMP Snooping par Pierre SALAVERA Service Technique ACTN «Dans l article de cette semaine, je vais vous parler d un principe «à la mode» comme on dit : le Multicast (multidiffusion). Cette
Plus en détailE-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg
E-réputation : protection des données en ligne Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg CONTEXTE La cybersécurité est un facteur de productivité, de compétitivité et donc de croissance pour
Plus en détailCloud public d Ikoula Documentation de prise en main 2.0
Cloud public d Ikoula Documentation de prise en main 2.0 PREMIERS PAS AVEC LE CLOUD PUBLIC D IKOULA Déployez vos premières instances depuis l interface web ou grâce à l API. V2.0 Mai 2015 Siège Social
Plus en détailInstallation de serveurs DNS, WINS et DHCP sous Windows Server 2003
Installation de serveurs DNS, WINS et DHCP sous Windows Server 2003 Contexte : Dans le cadre de l optimisation de l administration du réseau, il est demandé de simplifier et d optimiser celle-ci. Objectifs
Plus en détailServeur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014
Mise en place d un service FTP sous Linux Bouron Dimitri 20/04/2014 Ce document sert de démonstration concise pour l installation, la configuration, la sécurisation, d un serveur FTP sous Linux utilisant
Plus en détailNotre métier, trouver pour vous des solutions informatiques!
Notre métier, trouver pour vous des solutions informatiques! Nous proposons : L audit et l installation de parcs informatiques et de solutions réseaux La revente de matériels et de logiciels La maintenance
Plus en détailNotice de fonctionnement DVR H264. + Méthode de Visionnage ESEENET
Notice de fonctionnement DVR H264 + Méthode de Visionnage ESEENET 1 Le point de départ de chacune des différentes configurations traitées ci-dessous sera l écran de visualisation des 4 ou 8 caméras. A
Plus en détailTD n o 8 - Domain Name System (DNS)
IUT Montpellier - Architecture (DU) V. Poupet TD n o 8 - Domain Name System (DNS) Dans ce TD nous allons nous intéresser au fonctionnement du Domain Name System (DNS), puis pour illustrer son fonctionnement,
Plus en détailCONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ 68503 GUEBWILLER Cedex. Fax.: 03 89 62 13 31 Tel.: 08.92.56.68.69 support@telmatweb.
Educ@Box Configuration de base 6, Rue de l'industrie BP130 SOULTZ 68503 GUEBWILLER Cedex Fax.: 03 89 62 13 31 Tel.: 08.92.56.68.69 support@telmatweb.com Page: 1 Sommaire 1 CONTENU DE VOTRE PACKAGE EDUC@BOX...
Plus en détailRéseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux
Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs
Plus en détailPrésentation de la solution Open Source «Vulture» Version 2.0
Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org
Plus en détailSécurité des réseaux sans fil
Sécurité des réseaux sans fil Matthieu Herrb CNRS-LAAS matthieu.herrb@laas.fr Septembre 2003 SIARS Toulouse 2003 Plan La technologie sans fils Faiblesses et Attaques Architecture Sécurisation des postes
Plus en détailADMINISTRATION DE RESEAUX SOUS LOGICIEL «OPEN SOURCE»
MINISTERE DE LA COMMUNAUTE FRANCAISE ADMINISTRATION GENERALE DE L ENSEIGNEMENT ET DE LA RECHERCHE SCIENTIFIQUE ENSEIGNEMENT DE PROMOTION SOCIALE DE REGIME 1 DOSSIER PEDAGOGIQUE UNITE DE FORMATION ADMINISTRATION
Plus en détailREGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL
REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL L important développement à l international du groupe OVH et de ses filiales, conduit à l adoption des présentes règles internes en matière
Plus en détailCréer un tableau de bord SSI
Session n 16 Créer un tableau de bord SSI en 4 fois sans frais Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com Patrick CHAMBET Bouygues Telecom http://www.chambet.com
Plus en détailVIRTUALISATION DES FONCTIONS RÉSEAU. Les cinq erreurs majeures de la virtualisation
LIVRE BLANC www.brocade.com VIRTUALISATION DES FONCTIONS RÉSEAU Les cinq erreurs majeures de la virtualisation La virtualisation prend littéralement d assaut le monde de l informatique. Après des années
Plus en détail[ Sécurisation des canaux de communication
2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies
Plus en détailTER Réseau : Routeur Linux 2 Responsable : Anthony Busson
TER Réseau : Routeur Linux 2 Responsable : Anthony Busson Exercice 1 : Une entreprise veut installer un petit réseau. Elle dispose d un routeur sur Linux. Il doit servir à interconnecter deux réseaux locaux
Plus en détailII/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)
II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection) II.2/ Description des couches 1&2 La couche physique s'occupe de la transmission des bits de façon brute sur un canal de
Plus en détailcedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007
F i r e w a l l s e t a u t r e s é l é m e n t s d ' a r c h i t e c t u r e d e s é c u r i t é cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL
Plus en détailMenaces et sécurité préventive
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Menaces et sécurité préventive Matinales Sécurité Informatique 18
Plus en détailNotions de sécurités en informatique
Notions de sécurités en informatique Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique : Vaste sujet, car en matière de sécurité informatique
Plus en détailCours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -
Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction
Plus en détail